Apple、iOS16.3.1で新たに1件の脆弱性を修正していたことを発表

新たな脆弱性に対処

Appleは今回新たに、iOS/iPadOS16.3.1で、「共通脆弱性識別子（CVE）」を追加しています。新たに追加されたCVE番号は、CVE-2023-23524です。CVEとは、一般公開されている情報セキュリティの欠陥をリスト化したもので、それぞれ固有のID番号が割り振られています。
 
今回明らかにされた新たな脆弱性は、「悪意を持って細工された証明書」に関連するもので、攻撃者がデバイスやネットワークに大量のトラフィックを流してクラッシュを引き起こすことで、サービス拒否（Dos）攻撃に繋がる可能性があるというものです。同社は、Dos攻撃に繋がる可能性のある脆弱性は、「入力の検証の改善」によって修正されたとしています。
 
なお同社は2月13日時点で、CVE番号ベースで2件の脆弱性を修正したことを明らかにしています。1件目は、アプリがカーネル権限で任意のコードを実行できる可能性があるCVE-2023-23514、2件目は悪意を持って作成されたWebコンテンツを処理すると任意のコードを実行される可能性があるCVE-2023-23529に対処しています。

iOS/iPadOS16.3のセキュリティコンテンツページも更新

なお、1月にリリースされたiOS16.3及びiPadOS16.3のセキュリティコンテンツページも2月20日に更新されており、CVE番号ベースで新たに3件の脆弱性が修正されていたことが明らかになりました。
 
1件目は、発生したクラッシュの詳細を確認できるシステムソフトウェア「Crash Reporter」で発見されたもので、攻撃者がroot（管理者）として任意のファイルを読み取ることを可能にするものです。他の2件はFoundationに関連するもので、攻撃者がアプリのサンドボックス（プログラムの安全性を確認できる仮想環境）を迂回して、iPhoneやiPad上でより高い権限で任意のコードを実行できる可能性があります。
 
iOS16.3では、様々なセキュリティ上の脆弱性が修正されており、iCloudの高度なデータ保護が日本でも利用可能となりました。

これまで脆弱性について言及されなかった理由は不明

Appleが何故、このような脆弱性について今まで言及しなかったのか理由は分かっていません。しかし、これらの脆弱性は全てiOS16.3.1で修正され、現在、全てのユーザーが利用できるようになっています。
 
脆弱性対策として、常に最新のソフトウェアへのアップデートが推奨されていますが、最新のものにアップデートした後に何かしら不具合が生じることもあり、いつアップデートすべきか悩むユーザーも多いかと思います。最新バージョンが公開された直後は、アップデートに関するバグなどの情報収集をした上で問題ないことを確認し、なるべく早くアップデートを行うと良いでしょう。
 
 
Source:Apple(1),(2) via 9to5Mac
(m7000)